Mittel
Sicherheit von Webanwendungen
XSS, CSRF, SQLi und wie man sie verhindert (OWASP-Perspektive).
Warum Priorität „Mittel"? Gelegentlich Teil der Prüfung (40–59%). Verstehen, aber nicht überinvestieren.
Lernziele
- Die wichtigsten OWASP-Top-10-Risiken und Gegenmaßnahmen nennen
- XSS, CSRF und SQLi klar auseinanderhalten
- Sicherheitsheader (HSTS, CSP) einsetzen können
Top-Risiken und Gegenmaßnahmen
| Kategorie | Typisch | Gegenmaßnahme |
|---|---|---|
| Broken Access Control | IDOR, Pfad-Traversal | serverseitige Rechteprüfung, niemals auf Client vertrauen |
| Security Misconfiguration | Default-Passwörter, offene Admin-Panels | Hardening-Checklisten, CI-Scans |
| Cryptographic Failures | Klartext-Passwörter, TLS-Schwächen | bcrypt/argon2, TLS 1.3, HSTS |
| Injection (SQLi, XSS, Command) | Benutzereingaben im Code | Prepared Statements, Output-Encoding, CSP |
| Authentication Failures | schwache Passwörter, fehlendes MFA | MFA, Rate-Limit, starke Hashes |
| Software Supply Chain | kompromittierte Abhängigkeiten | SBOM, Dependency-Scan, Signierte Releases |
XSS, CSRF, SQLi – die Klassiker
- XSS: fremdes JS läuft im Browser des Opfers. Schutz: Output-Encoding + Content-Security-Policy.
- CSRF: Angreifer nutzt bestehende Session aus. Schutz: CSRF-Token + SameSite-Cookies.
- SQLi: Schutz: Prepared Statements + Least Privilege.
Sicherheitsheader
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-originÜbungen
Eine AntwortWirksamste Maßnahme gegen SQL-Injection?
Eine AntwortWelcher HTTP-Header erzwingt künftige Verbindungen über HTTPS?
Zum Weiterlernen
📄
MDN – Cross-Site-Request-Forgery (CSRF)
· developer.mozilla.orgDie offizielle Mozilla-Doku – inkl. Gegenmaßnahmen.
📄
ProSec – CSRF und XSS: Angriffsmethoden und Abwehr
· prosec-networks.comSauberer Leitfaden mit Angriff und Abwehr nebeneinander.
Externe Inhalte – AP2 Lernhub ist nicht für die Verfügbarkeit oder Korrektheit der verlinkten Seiten verantwortlich.